Vejledning til brug af Bank RA Revisionsinstruks

Relaterede dokumenter
Vejledning til brug af Offentlig RA Revisionsinstruks

RA-revisionsinstruks for offentlige myndigheder

Version: 1.2 Side 1 af 5

Version: 1.2 Side 1 af 6

INSTRUKS FOR OFFENTLIG RA

Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

INSTRUKS FOR OFFENTLIG RA

Finanstilsynets fortolkning af 11. marts 2013

Bekendtgørelse om NemID med offentlig digital signatur til fysiske personer samt NemID til medarbejdere i juridiske enheder

Sikkerhed og Revision ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler

Superbrugeruddannelse for Offentlig RA Aarhus 15. juni 2017 Ballerup 21. juni 2017

Plan og Handling CVR-nr.:

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Fonden Center for Autisme CVR-nr.:

GML-HR A/S CVR-nr.:

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Lector ApS CVR-nr.:

Tabulex ApS. Februar erklæringsår. R, s

Front-data Danmark A/S

Persondataforordningen...den nye erklæringsstandard

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

BILAG 5 DATABEHANDLERAFTALE

Komiteen for Sundhedsoplysning CVR-nr.:

Sikker adgang til personfølsomme data i Aula

Afgivelse og modtagelse af revisorerklæringer. Gitte Nielsen, ATP Thomas Gi Scharf, KMD Jess Kjær Mogensen, PwC

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

GML-HR A/S CVR-nr.:

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

- Der bør ikke ske en førtidig implementering af kravet om operationel revision

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

It-instruks om krav til systemrevision af kørselskontorets systemanvendelse for håndtering af kørselsdata

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Sotea ApS CVR-nr

Regler for NemID til netbank og offentlig digital signatur v5, 1. marts 2017

Vejledning. til. RA-administrator

Indledning til vejledning for intern overvågning...2. Aftaleprogram...3. Hvilke aftaler er omfattet af overvågningsprogrammet?...3

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

3 Omfattede typer af personoplysninger og kategorier af registrerede

frcewtfrhousf(wpers ml

Udkast til. Kapitel 1. Kvalitetsledelsessystemet

NOTAT. Styr på persondata

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Dokumentation af sikkerhed i forbindelse med databehandling

Udformning af ISAE3402 i praksis i samarbejde mellem intern og ekstern revision

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr

Tabulex ApS. Februar erklæringsår. R, s

Udvalgte problemstillinger ved revision af pengeinstitutters årsregnskaber for 2013

Bekendtgørelse om udstedelse og spærring af NemID med offentlig digital signatur

Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank)

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer

Bilag 6, Vejledning til udfyldelse af bilag 1-4 Indholdsfortegnelse

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Kommissorium for Revisionsudvalget. Danske Bank A/S CVR-nr

Bilag 1 Databehandlerinstruks

3 Omfattede typer af personoplysninger og kategorier af registrerede

Udvalget for Videnskab og Teknologi UVT alm. del Svar på Spørgsmål 33 Offentligt

Notat til Statsrevisorerne om beretning om Finanstilsynets aktiviteter i forhold til Roskilde Bank A/S. November 2009

Kontraktbilag 7: Databehandleraftale

Kontaktperson for henvendelse vedrørende behandlingen af dine oplysninger er Kim Petersen, som kan kontaktes på eller

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Bilag 6.2 IT-Revision

Procedure for tilsyn af databehandleraftale

Danmarks Rejsebureau Forenings Etiske Regelsæt

VILKÅR FOR RA-AFTALE FOR OFFENTLIG RA

ÆNDRINGERNE I RA-PORTALEN. - i forhold til de nye skærpede RA procedurer

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Præsentation af Curanets sikringsmiljø

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Lovtidende A 2008 Udgivet den 24. oktober 2008

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder, samarbejdspartnere mv. hos Seafood Sales ApS

Bilag 6, Vejledning til udfyldelse af bilag 1-4 samt eksempler

Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank)

Tjekliste til databehandleraftaler

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Ansøgning om Medarbejdercertifikat (Nem ID)

FORBEREDELSESUDVALGET FOR REGION SYDDANMARK

Særlige bestemmelser for DS-certificering af tæthedsmåling gennemført DS/SBC efter DS/EN

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

WHOIS-politik for.eu-domænenavne

Behandling af personoplysninger

Rammeaftalebilag 5 - Databehandleraftale

(*): Spørgsmål der er markeret med (*) kan undlades i revisionsvirksomheder hvor erklæringsopgaver med sikkerhed udelukkende udføres af 1 person.

1. Ledelsens udtalelse

Den 20. februar 2014 blev der i sag nr. 53/2012 & 54/2012. Revisortilsynet. mod. B (cvr. xx xx xx xx) og Statsautoriseret revisor A.

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Til høringsparterne Se vedlagte liste

BEK nr 545 af 30/05/2014 (Gældende) Udskriftsdato: 30. december 2016

Vejledning til "Henstandsordning"

Superbruger uddannelse for Offentlig RA Aarhus 18. august 2016 Ballerup 23. august 2016

Fortrolighedspolitik og erklæring om personoplysninger

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

IST DANMARK APS ISAE 3000 ERKLÆRING

Ansøgning om godkendelse til uddannelse af lokomotivførere på jernbaneområdet

Transkript:

Vejledning til brug af Bank RA Revisionsinstruks 1-7

Indholdsfortegnelse Indledning... 3 Formål... 3 Scope for RA-revisionen... 3 Særlige forhold for banker der benytter Nets DanID API et... 3 Kontroller relateret til anvendelse af it-systemer... 3 Bank RA s ansvar... 4 Nets DanID s ansvar... 4 Grundlag for RA Revisionsinstruksen... 4 Omfanget af RA Revisionsarbejdet... 4 Krav til intern revision og dens arbejde... 4 Hvad er typisk omfattet af RA revisionen?... 4 Hvornår kan Bank RA anvende eksisterende revisionserklæringer... 5 Ved brug af underleverandører... 5 Testhandling og efterprøvning... 5 Eksempler på testhandlinger og efterprøvninger... 6 Aflevering af revisionserklæring til Nets DanID... 6 Hvis erklæring indeholder forbehold eller bemærkninger... 7 2-7

Indledning Denne vejledning er til brug for Bank RA samt de interne og eksterne revisorer, der er involveret i afgivelse af revisionserklæringen vedrørende RA-opgaven jf. Bank RA Revisionsinstruksen. Formål Gennemførsel af revision af Bank RA-processer, -procedurer og -kontroller har til formål at validere at Nets DanID s udstukne krav for RA-opgaven bliver fulgt, herunder de sikkerhedsmæssige krav og forhold omkring persondatabeskyttelse. Dette omfatter bl.a. Efterlevelse af persondatalovgivning og GDPR RA-opgaven foretages ensartet, med høj kvalitet og i overensstemmelse med den indgåede RA aftale mellem Nets DanID og Bank RA, herunder: Korrekt legitimering og udstedelse af NemID Bank-RA medarbejdere har fået, og får løbende den fornødne træning i udførelse af RA-opgaven Beskyttelse af persondata i RA-opgaven i fysisk og elektronisk form Sikkerhed omkring brugeradgange Arkivering af data, fx logdata. Fysisk og logisk sikkerhed omkring det udstyr der benyttes til RA-opgaven Scope for RA-revisionen RA-opgaven for banker dækker alene de aktiviteter, processer og it-systemer, der benyttes i forbindelse med legitimering, udstedelse, samt spærring af NemID nøglekort og midlertidig adgangskode forbundet med udstedte NemID nøglekort, hvor bankerne enten benytter NemID portalen eller Nets DanID API. Særlige forhold for banker der benytter Nets DanID API et Der er flere af revisionskontrollerne, hvor der vil være skærpet krav, hvis bankerne benytter API-løsningen. I de tilfælde hvor API et benyttes og bankerne derfor bruger interne systemer til RA-opgaven, vil der potentielt være data relateret til RA-opgaven, som ligger lokalt i bankernes interne systemer, omfattende: Transaktions- og systemlog Registrering af brugeraktivitet i forhold til RA-opgaven Der er for flere af kontrolkravene defineret yderligere kontrolkrav, der har til formål at afdække lagring og behandling af disse data. Hvis bankerne benytter NemID portalen vil der ikke ligge i RA-opgaven, at data skal gemmes lokalt hos bankerne. Kontroller relateret til anvendelse af it-systemer I forbindelse med anvendelse af udstedelse af NemID nøglekort og den midlertidige adgangskode anvender Bank RA it-systemer, der også er omfattet af RA Revisionsinstruksen. De it-systemer, der er er omfattet af RA Revisionsinstruksen kan opdeles i systemer, der er stillet til rådighed af Nets DanID, og de systemer der er Bank RA s eget ansvar. 3-7

Bank RA s ansvar RA skal i RA Revisionsinstruksen udelukkende foretage revisionshandlinger i forhold til de it-systemer, hvor RA har ansvaret. Nets DanID s ansvar RA-Portalen eller NemID portalen der anvendes til legitimering af ansøger og behandling af NemID udstedelse herunder den midlertidige adgangskode er Nets DanID s ansvar. RA skal derfor ikke foretage revisionshandlinger i forhold til den i NemID portalen indbyggede sikkerhed eller Nets DanID s organisation og processer, der understøtter NemID portalens drift og vedligeholdelse. Grundlag for RA Revisionsinstruksen Grundlaget for RA Revisionsinstruksen er de krav, der fremgår af: POCES certifikatpolitikken: https://www.nemid.nu/dk-da/om-nemid/historien_om_nemid/ocesstandarden/oces-certifikatpolitikker/ RA-aftalen og Bilag til RA-aftalen for Banker Bank RA Revisionsinstruks RA-aftalens Allonge 2 - Data Processing Agreement Omfanget af RA Revisionsarbejdet Såfremt revisionen foretages af en ekstern revisor skal resultatet af revisors arbejde rapporteres i form af en ISAE3000 type 2 erklæring. For interne revisorer i banker skal rapportering ske i overensstemmelse med Finanstilsynets bekendtgørelser herom. I de tilfælde hvor en kontrol ikke udføres eller, hvor revisionshandlingen ikke kan udføres som beskrevet i kolonnen Revisionshandling, skal revisor i kolonnen Resultat af revisionshandlinger begrunde, hvorfor revisionshandlingen ikke er udført. Såfremt der eksisterer andre kontroller eller kompenserende kontroller, skal dette anføres i kolonnen Resultat af revisionshandlinger. Krav til intern revision og dens arbejde For at Nets DanID og deres revisor kan basere sig på arbejde udført af intern revision i banker skal den interne revision opfylde kravene i Finanstilsynets bekendtgørelser om den interne revisionsfunktion. Hvad er typisk omfattet af RA revisionen? De it-systemer, processer og lokationer normalt vil være omfattet af RA s revisionen vil typiske omfatte: De fysiske lokationer hvor RA-opgaven foretages Arbejdsstationer, der af RA der anvendes af RA-medarbejderes til at udføre RA-opgaven, såsom bærbare og stationære computere. Fysiske steder (aflåste skabe, arkiver, m.fl.) hvor der foretages fysisk opbevaring af nøglekort og evt. også vitterlighedsvidneerklæringer eller fuldmagter. ESDH systemer, hvis der foretages registrering, eller der i disse gemmes kopier af dokumentation forelagt i forbindelse med Bank RA s behandlinger, fx afslag på ansøgninger. 4-7

Interne systemer der registrerer godkendelser og indeholder oversigt over oprettelser, ændringer og nedlæggelser af Bank RA s brugere. Systemer der gemmer transaktioner, hændelses- og brugerlogs fra RA behandlinger. Dette vil primært være relevant i de tilfælde hvor bankerne benytter API løsningen. Hvornår kan Bank RA anvende eksisterende revisionserklæringer Bank RA kan anvende bankens eksisterende revisionsdokumentation, herunder ISAE3000/ISAE3402 type 2 eller en ISRS4400 aftalte arbejdshandlinger, såfremt at disse kan vise, at Bank RA har etableret effektive kontroller i hele erklæringsperioden, der relaterer sig til de relevante krav i RA Revisionsinstruksen. Ved brug af underleverandører I de tilfælde hvor en it-service leverandør varetager hele elle dele af driften, af de it-systemer Bank RA selv har ansvar for, er Bank RA ansvarlig for at indhente revisionsdokumentation, der viser, at it-serviceleverandøren har etableret effektive kontroller i hele erklæringsperioden, der relaterer sig til de relevante krav i RA Revisionsinstruksen. Revisionsdokumentationen kan være i form af en revisionserklæring ISAE3000/ISAE3402 type 2 eller en ISRS4400 Aftalte arbejdshandlinger. Både ISAE3000/ISAE3402 erklæringen eller ISRS4400 Rapport om resultat af aftalte arbejdshandlinger skal være underskrevet af en Godkendt Revisor. Testhandling og efterprøvning De udførte testhandlinger bør omfatte en blanding af nedenstående testhandlinger. Det skal bemærkes, at test alene ved forespørgsel ikke er tilstrækkelig til at give den fornødne grad af sikkerhed for revisors konklusion. Inspektion Gennemlæsning af procedurer/forretningsgange og/eller opsætning af systemer. Dette omfatter bl.a. stillingtagen til, om specifikke procedurer/forretningsgange er designet, så de kan forventes at blive effektive, hvis de implementeres. På de tekniske platforme, databaser og netværkskomponenter kan det påses, at disse er opsat tilfredsstillende. For mange pengeinstitutter vil dette sandsynligvis allerede være bekræftet i de ISAE 3402-erklæringer, der modtages fra fælles datacentraler. Forespørgsler Observation Forespørgsel af passende personale. Forespørgsler omfatter, hvordan procedurer/forretningsgange er designet og implementeret. Observation af udførelse af procedurer/forretningsgange ved overvågning af faktisk udførelse. Er en af de handlinger, der er relevante, i relation til bekræftelse af at implementering har fundet sted. 5-7

Genudførelse af kontrollen Gentagelse af den relevante procedure/forretningsgang og vurdering af, om resultatet er som forventet. Er en af de handlinger, der er relevante i relation til bekræftelse af at implementering har fundet sted. Eksempler på testhandlinger og efterprøvninger Nedestående er et eksempel på kontroller og dertilhørende vejledninger til revision af disse. Kontrol Vejledning Der er implementeret en procedure/forretningsgang hos Bank RA med henblik på at rende krav om overholdelse af Bank RA-medarbejde- Kontroller proceduren/forretningsgangen vedrø- sikre, at Bank RA-personale, som er autoriseret til at behandle persondata, er underlagt ved at gennemgå denne procedure/forretningsgang res fortrolighed i forhold til behandling af persondata krav om fortrolighed. for om proceduren er implementeret hos Bank RA, og at denne procedurer sikrer at Bank RA-medarbejdere bliver underlagt fortrolighed inden personalet autoriseres til at behandle persondata. RA skal kontrollere, at ledere og medarbejdere, der udfører betroede opgaver i eller for CA, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv. Kontroller for et udvalg af Bank RA-medarbejdere, at de har underskrevet en fortrolighedsaftale/erklæring vedrørende persondata. Kontrol af hvorvidt en medarbejder ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv med udstedelse af NemID foretages ved fremvisning af straffeattest eller tilsvarende dokumentation, såfremt at medarbejderen ikke befinder sig i Danmark. Nets DanID stiller ikke krav om, at straffeattesten opbevares. Bank RA skal på anmodning fra Nets DanID fremlægge dokumentation for, hvilke konkrete procedurer og legitimationsbeviser der har ligget til grund for Bank RA s legitimering af bruger, jf. bankaftalen. Bank RA har implementeret tekniske og organisatoriske sikringsforanstaltninger, med henblik på at forhindre at persondata: ved uheld eller skadeshensigt ødelægges, tabes eller ændres gøres tilgængelige uden godkendelse behandles i modstrid med love og reguleringer, herunder GDPR-reguleringen. Forespørg udvalgte RA-medarbejder omkring kravene til verifikation af kundens identitet, for at validere at de kender til legitimationskravene og de kan fremfinde dem på forespørgsel. Observer, at der er etableret en organisation, der understøtter, at kun godkendte medarbejdere kan få en adgangsbetinget adgang til systemer og data, der anvendes til udstedelse af OCES-certifikater. Aflevering af revisionserklæring til Nets DanID Bank RA skal anvende følgende skabeloner ved indsendelse af erklæringer: Ledelseserklæring Revisionserklæring fra intern revision vedr. RA-aftale Revisionserklæring fra ekstern revision vedr. RA-aftale 6-7

Skabelonerne er tilgængelige på NemID RA-Univers. Hvis erklæring indeholder forbehold eller bemærkninger Bank RA skal indsende udfyldt Ledelses- og Revisionserklæring til Nets DanID senest d. 15. december til esec-nemid-bank-audit@nets.eu Såfremt Ledelses- og Revisionserklæring indeholder bemærkninger eller forbehold, anbefaler Nets DanID, at Bank RA medsender en plan til Nets DanID for, hvordan og hvornår disse planlægges udbedret. 7-7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback